| 침해 사고 정보 | |
| 일자 | 2008/02/04 |
| 침해 정보 | 개인정보 (이름, 아이디, 주민번호 등) 금융정보 (거래정보, 환불정보) |
| 특징 | 악성 이메일에 의한 악성 코드 감염 |
| 피해크기 | 1863만명 |
| 침해 사고 분석 | |
| 경위 | ① 한국인이 중국 해커 2명 고용 ② 중국 해커는 해킹 툴(fuckkr_키로거)을 포함(첨부)한 메일을 옥션 직원에게 무작위 발송 * fuckkr 동작 원리: E-mail내 첨부파일 실행 > 해킹 툴 fuckkr 설치 및 키로거 기능 수행 ③ 메일을 수신한 임직원들이 첨부파일을 실행시켰고, 해킹 툴이 설치됨 ④ 해킹 툴_키로거를 이용하여, 관리자 계정 탈취 후 개인정보 유출 |
| 원인 | ① 스팸 메일에 대한 경각심 부족으로 판단됨 - 중국 해커는 사용자들의 관심을 유발할 내용으로 메일을 발송하여 첨부파일 실행을 유도함 > 메일 내용 "유감스럽게도 회원님께서는 경찰청 사이버테러대응센터가 확인한 개인정보 유출 회원에 포함되어 있습니다. 유출된 회원님의 개인정보는 이름, 옥션아이디, 주민등록번호, 이메일주소, 주소, 전화번호가 포함되어 있으나, 은행계좌번호는 유출되지 않은 것으로 확인되었습니다." ② 변종 해킹 툴(fuckkr)로 안티 바이러스, 안티 스파이웨어 탐지 우회 - 당시 안티 바이러스 제품의 탐지를 우회하도록 제작되어 탐지되지 않은 것으로 판단됨 |
| 조치 | ① 14만 6000여명이 1570억원의 손해배상 청구 - 2015년 2월 12일 옥션 승소 > 당시 옥션이 취했던 보안 조치와 해킹 방지 기술은 의무를 다했다는 점 > 보안 기술의 발달과 해킹 기술의 발달간 격차를 인정한다는 점 > 유출 자진 신고(인정) 및 공개, 유출 확인 사이트 등으로 공개한 최초의 사례라는 점 > 피해 회원에게 개별적으로 관련 이메일을 발송한 점 |
| 기타 | - 당시 옥션의 회원수는 1800만명으로, 해당 유출 건은 회원의 60%에 해당 - 옥션은 유출 건수를 1081만건으로 발표했으나, 2010년 공지를 통해 1863만건으로 정정 - 암호, 신용카드정보는 유출되지 않음 - 유출된 일부 ID가 당시 중국 사이트들에서 거래되는 정황을 포착되기도 함 |
'침해사고 > 해킹사고' 카테고리의 다른 글
| 한국씨티은행 포스(POS)단말기 해킹 사고 (0) | 2023.06.28 |
|---|---|
| 대학교 개인정보 유출 (0) | 2023.06.17 |
| 한독 개인정보 유출 (0) | 2023.06.16 |
| LGU+ DDoS&개인정보 유출 (0) | 2023.04.27 |
| 가상자산거래소 지닥 해킹 사건 (0) | 2023.04.11 |